[ホーム] > [間違えやすい類語 IT編一覧] > [Windows Active Directory 用語集]

Windows Active Directory 用語集

作成日:2020/01/29

このページではWindows Activee Directory 関連の用語に関して簡単にまとめています

(注意)分かりやすく簡単に記載しており、一部の環境や分野では記載内容が異なる可能性があります。あくまでも参考程度でお読みください。

比較表

比較は以下の表の通りとなります。

説明概要備考
フォレスト・おおまかにいうと組織の単位
・一番大きき管理単位
・信頼関係で結ばれたドメインの範囲
・オブジェクトの検索や表示の範囲
・ツリー構造が必須ではない。
・共通したスキーマを持つ
・どうしても異なるスキーマを持ちたい場合はフォレストを分割する。
・分割して設計したフォレストは後で統合できない。信頼関係を結ぶしかない。
サイト複製の単位-
ドメイン・管理の単位。
・データベースの単位。
・ユーザを管理する単位。
・ドメインコントローラが管理する範囲。
・要件がないかぎり、基本はシングルドメイン。
OU(組織単位)・ドメイン内の階層、管理の単位
・ドメイン内でさらに管理を分割。ポリシーを分割など。
-
信頼関係・ログオンしたユーザがアクセスできる範囲を広げる。
・一つのドメインにログオンすれば信頼しているドメインにもログオンしたことになる。
具体的には以下のようなときに信頼するドメイン側のユーザが表示される。
 (1)NTFSのアクセス権設定時(2)組織単位の委任作成時(3)ユーザの権利のアサイン時。など

・信頼関係を結ぶ場合は相手のドメインの管理者パスワードの入力が必要。
アクセス件を設定する画面でドメインが表示され設定が可能となる。
グローバルカタログ・自分のドメインの全オブジェクトのコピー、およびフォレスト内の他のドメインのオブジェクトのコピーを保持。
・コンピュータやユーザなどの情報。
・グローバルカタログサーバはこれらの情報のコピーを保有するサーバ。
フォレストでシングルドメインならすべてのDCをグローバルカタログにしてよい。シングルドメインなので追加のリソースが発生しないため。
データフォルダーのフォルダーC:\Windows\NTDS ・・・デフォルトのフォルダ
-
ログファイルのフォルダーC:\Windows\NTDS ・・・デフォルトのフォルダ
-
SYSVOLのフォルダー・グループポリシー設定ファイルやスクリプトが保存されている。読み取り可能なアクセス権が必要。
・C:\Windows\SYSVOL ・・・デフォルトのフォルダ
-
NetLogon旧Windowsで使用していたフォルダ。現在では使用せず。
-
ループバック処理ユーザがADにログインしたときに適用された「ユーザの構成」を再度「コンピュータの構成」ポリシーで上書きすること。
例:ユーザグループポリシーのループバック処理を有効にしている場合。

(1)PC起動時にPC所属OUの"コンピュータの構成"ポリシーが適用
(2)ユーザがログイン時にユーザー所属OUの「ユーザーの構成」ポリシーが適用(LSDou)
(3)"ループバック処理"が設定されている場合は、再度PC所属OUの"コンピュータの構成"ポリシーが適用される。


リソースドメインコンピュータの管理を集中したドメイン。ユーザの管理を収集したドメイン(アカウントドメイン)を信頼して使用する。-
統合Windows認証Windows のアカウントの認証を Web サーバで行う。例えば Windows AD ログオン済の場合、Webサーバの認証をパスワード再入力なしで行うことが可能。
機能レベルActive Directory 全体で合わせる機能のレベル。異なるバージョンのOSで相互運用するために機能を下のラインで合わせる必要がある。一度上げたら下げられない点に注意。-
Authoritative RestoreADを復元した場合に最新情報として認識され他のデータベースに複製される。(ただしAuthoritative Restore前に新規追加されたオブジェクトは削除されない。)
-
動的更新(DDNS)AD参加時に自動でDNSに登録する機能。


DDNS構成で登録される主なレコードは以下の通り
(1)ADやDNSに必要なレコード(SRVレコード等)
(2)WindowsクライアントなどDDNSに対応したクライアントからの登録
(3)DHCPサーバがリースしたレコード

その他DNS管理者は手動でレコードを登録することが可能。


・クライアント、サーバの両方でサポートされている必要あり。クライアント側はDHCPサービスが機能を実装している。プライマリ DNSで AD の DNSを指定している必要あり。
DNSサーバのゾーンのプロパティで「動的更新」=「なし」に設定することも可能。DMZに出すサーバなど。

・DDNSを無効化した場合 (1)が登録されないため別途手動で登録しない限り複製処理などで不都合が発生する。

・静的に登録されたレコードがある場合、セキュリティ設定により動的更新は拒否される。セキュリティ設定を変更すれば動的レコードの上書きは可能。
Active Directory統合DNSゾーンデータベースは他のADと同じようにレプリケートされるため、DNSのレプリケーションにゾーン転送などは必要ない。
-
条件付きフォワーダー解決するドメイン名に基づいてクエリ先を決定する。通常はローカルでは解決できないクエリはフォワーダーに転送するが、条件付きフォワーダーではドメイン名に基づき転送先を決定する。信頼関係を結んだWindows AD でよく使われる。-


[ホーム] > [間違えやすい類語 IT編一覧]
,







【注意】本ページは著作権で保護されています。内容は何人も補償しません。時間的あるいは金銭的損失等、一切保証しません。

理解しやすく記載されており、一部不正確な記載がある可能性があります。ご自身の責任で参考にしてください。